|
Samedi 11 Septembre 2010
Accueil
Méthodologie
Implantation
Contact
|
Voyage au pays des palimpsestes informatiques
Par Ambroise Soreau, Expert Celog, octobre 2002
En 1907, le professeur Johan Heiberg fit la découverte du palimpseste [2] d’Archimède, dans la bibliothèque de Métochion à Constantinople. Il s’agit d’un parchemin qui dévoile, sous un texte de la bible du XIIe siècle, l’unique copie connue du Traité des corps flottants en grec. L’encre de ce texte avait été grattée comme il était d’usage à une époque où les parchemins étaient fréquemment réutilisés. Aujourd’hui nos disques durs ont avantageusement remplacé les parchemins. Sur le fond on remarquera que l’on n’a pas, pour autant, cessé d’utiliser plusieurs fois le même support. On ne gratte plus certes, mais on supprime fichiers, courriers électroniques, et autres données stockées sur le disque dur pour pouvoir utiliser à nouveau l’espace ainsi libéré. Or supprimer en informatique n’est pas forcément synonyme de rendre inexistant. Le disque dur regorgeant de données "effacées" peut ainsi se transformer en véritable palimpseste informatique ne demandant qu’à être restauré en vue, notamment, de la production de preuves en justice [3]. Avant d’étudier en détail les raisons pour lesquelles des données supprimées peuvent être restaurées et voir quelles conséquences nous pouvons en tirer d’un point de vue juridique, il nous faut commencer par évoquer rapidement le mode de fonctionnement des disques durs [4]. Ces disques appartiennent à la famille des supports magnétiques. Ils sont composés d’un ou plusieurs plateaux rigides empilés les uns sur les autres autour d’un axe. A la surface de ces plateaux, des données sont stockées sous forme de polarisation avant d’être transformées en code binaire par la tête de lecture-écriture qui agit alors en qualité de convertisseur analogique numérique. Ces plateaux sont classiquement organisés en pistes, cylindres, secteurs. Les pistes sont des sillons concentriques gravés à la surface des plateaux. Lorsque des données sont situées sur les mêmes pistes de plusieurs plateaux, on parle de cylindres. Ces pistes sont également divisées en secteurs (généralement de 512 octets)
Il nous faut ensuite introduire la notion de clusters et de table d’allocation des fichiers [5]. Le cluster pouvant se définir comme la plus petite unité d’espace disque occupée par un fichier. On parle également d’unité d’allocation. Il en existe des milliers sur un disque dur. Ces clusters sont répertoriés par la table d’allocation des fichiers qui définit leur statut. Ainsi les clusters peuvent avoir trois états principaux (disponible, réservé, défectueux). Lorsqu’un cluster est disponible, le système est autorisé à utiliser l’espace qu’il occupe pour une opération d’écriture. Lorsqu’il est réservé ou défectueux, aucun processus d’écriture sur cet espace n’est autorisé ou possible. La table d’allocation des fichiers maille éventuellement les clusters entre eux lorsqu’un fichier est stocké sur plusieurs clusters.
Comme nous allons le voir maintenant, les possibilités de restauration des données varient en fonction de la méthode de suppression utilisée. Nous distinguerons d’une part, les processus de suppression qui agissent au niveau de la table d’allocation des fichiers, on parlera alors de suppression de type logique [6], et d’autre part, les suppressions qui agissent au niveau de l’espace disque occupé par les données, on parlera alors de suppression de type physique.
L’exemple type de la suppression logique est le fait, par exemple, de vider la corbeille de son bureau. Pour comprendre néanmoins plus en détail ce qu’est une suppression de type logique, il nous faut revenir aux notions de clusters et de table d’allocation de fichier. Supposons qu’un disque dur soit formaté avec des clusters d’une taille de 8192 octets. Un fichier A de 16384 octets occupera donc deux clusters. Ces clusters seront référencés dans la table d’allocation des fichiers comme réservés.
| Fichier A | Fichier A | |
| cluster réservé | cluster réservé | cluster disponible |
Si le fichier A est supprimé, le système d’exploitation modifiera l’entrée correspondante de la table d’allocation des fichiers de façon à ce que les clusters occupés par le fichier A soient référencés comme disponibles. Dans ce cas les clusters pourront être réutilisés pour un processus d’écriture ultérieur.
| Ancien fichier A | Ancien fichier A | |
| cluster disponible | cluster disponible | cluster disponible |
Dans notre exemple les données de l’ancien fichier A sont conservées telles quelles sur le disque dur. Il suffit de les restaurer à l’aide de procédures ad hoc pour qu’elles deviennent de nouveau accessibles. Il n’est pas inutile de souligner que le formatage du disque agit également au niveau de la table d’allocation des fichiers et non au niveau de l’espace occupé par ces données. En ce sens, il peut être considéré comme une suppression de type logique. De même, il n’est pas sans intérêt de relever que la défragmentation [7] d’un disque peut produire des effets identiques à ceux précédemment décrits lors d’une suppression logique. Ceci apparaît dans l’exemple ci-après :
Soit 3 fichiers occupant chacun 1 cluster.
| Fichier A | Fichier B | Fichier C |
| cluster réservé | cluster réservé | cluster réservé |
Suppression du fichier B.
| Fichier A | Ancien fichier B | Fichier C |
| cluster réservé | cluster disponible | cluster réservé |
Opération de défragmentation. Le fichier C prend alors la place de l’ancien fichier B.
| Fichier A | Fichier C | Ancien fichier C |
| cluster réservé | cluster réservé | cluster disponible |
Suppression du fichier C. Ce fichier est remplacé par un fichier D. On constate que le fichier C est toujours sur le disque dur.
| Fichier A | Fichier D | Ancien fichier C |
| cluster réservé | cluster réservé | cluster disponible |
Comme nous venons de le voir, dans les cas de suppression logique évoqués, l’action de supprimer a un effet direct au niveau de la table d’allocation des fichiers et non au niveau de l’espace disque occupé par les données elles-mêmes. Dès lors, nous sommes en face de données "cachées", "enfouies" [8], et non en présence de données détruites. Seule la table d’allocation des fichiers a été modifiée. C’est de ce type de suppression qu’avait eu à connaître la cour d’appel de Paris dans la célèbre affaire du virus "Frodo". Il ressort en effet de la lecture de l’arrêt que ce virus agissait directement au niveau de la FAT pour opérer la destruction progressive des fichiers de l’ordinateur contaminé [9].
La suppression de type physique est généralement beaucoup plus radicale que la suppression de type logique, dans le sens où non seulement la donnée disparaît mais cesse également d’être. Il convient cependant de distinguer les procédures de suppression par réécriture, et les procédures de suppression par destruction ou par démagnétisation du support.
Suppressions par réécriture
La réécriture partielle ou totale peut se définir comme une action de polarisation d’un support magnétique où étaient enregistrées d’autres données.
-> Suppressions par réécriture partielle
Pour comprendre comment une opération de réécriture peut-être partielle, il nous faut introduire la notion de fragment. Nous sommes en présence d’un fragment lorsqu’un fichier n’occupe pas l’intégralité d’un cluster ou s’étend sur plusieurs clusters sans complètement remplir le dernier. Supposons un disque dont les clusters permettent de stocker 8192 octets. Un fichier A de 15000 octets occupera un premier cluster entièrement et 6808 octets d’un deuxième cluster. Un fragment rebus de 1384 octets du deuxième cluster sera généré.
| Fichier A | Fichier A | rebus | |
| cluster réservé | cluster réservé | cluster disponible |
Si l’utilisateur efface le fichier A, les deux clusters sont à nouveau considérés comme disponibles.
| Ancien fichier A | Ancien fichier A | rebus | |
| cluster disponible | cluster disponible | cluster disponible |
Supposons maintenant qu’un nouveau fichier B de 8192 octets soit enregistré sur ce même emplacement. Le premier cluster sera complètement réécrit. Sur le deuxième cluster, 6808 octets demeureront sous forme de fragment de l’ancien fichier A.
| Fichier B | Fragment Ancien fichier A | rebus | |
| cluster réservé | cluster disponible | cluster disponible |
Ce fragment de l’ancien fichier A pourra être restauré.
-> Suppressions par réécriture totale
Il y a réécriture totale lorsque l’ensemble de l’espace occupé par des données a été réécrit. Le processus de réécriture total peut être le fait d’une utilisation normale de l’ordinateur dont le système d’exploitation autorise l’écriture sur les clusters disponibles. Au bout d’un certain temps d’utilisation du disque dur, les clusters disponibles sont tous progressivement réutilisés. Il peut aussi être le résultat d’un processus volontaire et systématique qui résulte de l’utilisation d’outils de stérilisation de disques durs visant à les rendre exempts de toutes données dans des espaces disponibles grâce à des méthodes plus ou moins complexes de réécriture. Leur efficacité varie d’un produit à l’autre. Pour qu’ils soient pleinement efficaces, il faut qu’ils soient en mesure de calculer la capacité réelle du disque dur, de gérer correctement les clusters défectueux, qu’ils nettoient correctement la table d’allocation des fichiers, qu’ils prennent en compte les effets de rémanence, au besoin, en réécrivant plusieurs fois sur l’endroit occupé par les données à supprimer. Pour que cette dernière opération soit efficace il faut que ces outils soient en mesure de gérer les codages de type RLL (run-length limited) ou MFM implémentés par les constructeurs de disques pour limiter les périodes d’horloge sans inversion de flux. Utilisés et conçus dans les règles de l’art, ces processus aboutissent à la suppression définitive des données qui cessent alors d’être. A défaut, ils peuvent donner vie à des palimpsestes informatiques.
Suppression par destruction et démagnétisation du disque dur
La suppression par destruction du support est sans doute la plus efficace des méthodes. Elle permet d’exclure toute restauration suite à un processus de réécriture défaillant, voire à certains problèmes auxquels se heurtent les logiciels de réécriture comme par exemple les informations de bord de pistes induites par une micro-oscillation de la tête de lecture-écriture. Le seconde technique est la démagnétisation du disque dur à l’aide d’un dégausseur (démagnétiseur). Il s’agit de soumettre le disque à un champ magnétique autre que celui produit par la tête de lecture-écriture de façon à faire disparaître tout ce qui est enregistré sur le disque. Pour que cette opération soit efficace, il convient de prendre en compte la coercivité du disque dur, c’est-à-dire l’intensité du champ magnétique nécessaire pour supprimer l’induction magnétique existante. Elle s’exprime en oersted du nom du physicien Danois Christian Oersted. On admet que le champ magnétique doit être au moins cinq fois supérieur à la coercivité du disque. La coercivité d’un disque varie en fonction des modèles (généralement entre 500 oe à 3000 Oe). ces opérations nécessitent un matériel et un savoir-faire spécialisé. Il s’agit là encore d’une opération qui lorsqu’elle est correctement mise en œuvre peut se révéler extrêmement efficace.
La possibilité de restaurer des données enregistrées sur un disque dur, dépend, comme nous l’avons vu, de la façon dont celles-ci ont été supprimées. Parfois les données sont seulement cachées mais restent intactes, parfois elles subsistent sous forme de fragment ou de trace. Dans certains cas elles sont définitivement perdues. Nous sommes ainsi amenés à reconsidérer la notion de "suppression" de données à laquelle se réfère l’article 323-3 du code pénal [10] en matière de délinquance informatique. En effet, le dictionnaire encyclopédique universel nous indique que "supprimer" signifie : faire disparaître. Or disparaître, c’est selon ce même dictionnaire : ne plus être visible, mais aussi cesser d’être, cesser d’exister. Ainsi si l’on admet que l’on peut ne plus être visible sans pour autant cesser d’être, il existe donc une définition plus ou moins large du terme, peu compatible avec la rigueur que doit normalement revêtir une incrimination pénale. Dans la pratique, nous serons souvent en présence de suppressions de type logique car il s’agit des suppressions les plus courantes. La donnée aura donc "disparu", suite à une modification [11] de la table d’allocation des fichiers, mais elle n’aura pas pour autant cessé d’être. En fait, si l’on retient l’acception "faire cesser d’être", l’acte de suppression demeurera bien souvent au niveau de la tentative. Aux termes de l’article 323-7 du code pénal cette tentative est punissable. Le seuil de l’inter criminis étant franchi par le fait que la destruction ait été rendue possible, l’auteur d’une suppression frauduleuse risque donc de ne pas échapper à la condamnation. Cela ne veut pas dire pour autant que les suppressions physiques et logiques doivent être tenues comme équivalentes d’un strict point de vue juridique. La gravité du dommage infligé à la victime influe souvent sur le prononcé de la peine et sur le montant de la réparation civile. Or, dans l’hypothèse d’une suppression de type logique, le préjudice sera équivalent non pas à la valeur de la donnée supprimée et aux conséquences de son indisponibilité mais équivalent au coût de la restauration et au temps d’indisponibilité de la donnée [12] Cet état de fait doit être pris en compte par la victime d’un acte de suppression frauduleux ou accidentel. En effet, si elle ne veut pas se voir reprocher d’avoir participé à la réalisation de son propre dommage en continuant à utiliser un ordinateur dont les clusters ont été frauduleusement rendus disponibles pour un processus d’écriture, elle aura tout intérêt à des fins conservatoires à faire réaliser une copie à l’identique de son disque dur sitôt l’acte de suppression découvert. Cette copie permettra d’établir le type de suppression dont elle a été victime et, le cas échéant, de démontrer que toute restauration était impossible. Ce n’est que dans cette mesure que le préjudice pourra être tenu pour certain et que sa faute sera écartée. Ainsi, si les techniques de restauration inforensiques [13] nous ouvrent de nouvelles perspectives dans la recherche et l’administration des preuves issues de supports informatiques, elles induisent également de la part des victimes d’acte de suppression de nouveaux comportements dans la conservation de ces mêmes preuves.
[1] Le mot inforensique est composé du terme forensique auquel a été rajouté le radical info du mot informatique. Forensique vient du latin forum ; lieu de jugement dans l’antiquité. L’inforensique peut se définir comme l’ensemble des connaissances et méthodes qui permettent de collecter, conserver et analyser des preuves issues de matériels informatiques en vue de les produire dans le cadre d’une action en justice.
[2] Palimpseste : Parchemin manuscrit dont le texte primitif a été gratté et sur lequel un nouveau texte a été écrit.
[3] Sur la recevabilité des preuves issues d’un processus de restauration voir par exemple CA Paris, 11 ch., 17 oct. 2001, Juris Data : 2001-166534 . Comp. CA Douai, 4eme ch., 21 mars 2002, Juris Data : 2002-177654 (examen de la corbeille)
[4] Nous limiterons d’ailleurs notre propos, dans un souci de simplification, aux suppressions de données stockées sur ces supports et non sur d’autres périphériques de stockage (cartes, puces, etc.). Nous n’évoquerons pas non plus d’autres types de disques (optique par exemple) qui font appel à des procédés différents.
[5] Ici encore, il nous faut circonscrire notre propos aux systèmes de type FAT pour Windows dans un souci de simplification et parce que ces systèmes de fichiers sont aujourd’hui encore les plus utilisés. En fait, il existe d’autres types de systèmes de fichiers NTFS (Windows NT), EXT2 (Linux), HFS (Macintosch), UFS (Unix). D’un point de vue fondamental, les concepts utilisés sont identiques, seule leur mise en œuvre diffère ainsi que la terminologie. Dans un système UFS ou EXT, on parlera plus volontiers de tables d’inodes que de table d’allocation de fichiers. De même avec un système NTFS, on ne se référera pas à la notion de table d’allocation de fichiers mais à la "master file table" et à la notion de "cluster allocation bitmap". Enfin les technologies de disques de type RAID ne seront pas étudiées non plus dans le cadre de cet article.
[6] Comp. CA Toulouse, Ch. corr., 21 janvier 1999, Juris Data : 1999-040054 (référence à la notion de suppression logique).
[7] Cette opération consiste à optimiser l’utilisation de l’espace disque par une opération de compactage des fichiers pour les organiser en suites de données contigües.
[8] otions que n’ignore pas notre droit lorsqu’il l’applique à des choses corporelles voir C.civ. art. 716. et 552 C.civ.
[9] CA Paris, 15 mars 1995, Juris Data : 1995-020627
[10] Comp. Article 434-4 code pénal.
[11] La modification frauduleuse de données est également incriminée par l’article 323-3 CP.
[12] CA Toulouse, Ch. corr., 21 janvier 1999, Juris Data : 1999-040054 (prise en compte du nombre de jours et du nombre de collaborateurs nécessaires pour la restauration des données). Comp. CA Nancy, Ch. Soc., 27 mars 1996, Juris Data : 1996-042975 (nécessité de démontrer le temps passé pour restaurer les données pour évaluer le préjudice).
[13] Voir Méthodologie de restauration du Centre d’expertises CELOG http://www.celog.fr.
70, rue de Ponthieu 75008 PARIS
Tél. +33 (0)1.43.59.60.61
Fax +33 (0)1.43.59.60.64
Directeur de publication : Raphaël D'ASSIGNIES
www.celog.fr
SARL au capital de 48 784 euros
RCS Paris B 308 950 260
CODE APE 6202A
TVA: FR78308950260
